Беспроводные локальные сети IEEE 802.11. Методы и средства обеспечения безопасности в беспроводных сетях.

 

Комитет по стандартам IEEE 802 сформировал рабочую группу по стандартам для беспроводных локальных сетей 802.11 в 1990 году.

Работы по созданию стандарта были завершены через 7 лет, и в июне 1997 года была ратифицирована первая спецификация 802.11. Стандарт IEEE 802.11 являлся первым стандартом для продуктов WLAN от независимой международной организации, разрабатывающей большинство стандартов для проводных сетей.

	802.11b	802.11a	802.11g
Стандарт принят	Сентябрь 1999	Сентябрь 1999	Июль 2003
Полоса пропускания	83.5 МГц	300 МГц	83.5 МГц
Полоса частот (ГГц)	2.40 – 2.4835	5.15 – 5.35, 5.725 – 5.825	2.40 – 2.4835
Количество непересекающихся каналов
Скорость передачи (Мбит/с)	1, 2, 5.5, 11	6,9,12,18,24, 36,48,54	1, 2, 5.5, 11, 22, 6, 9, 12, 18, 24, 36, 48, 54
Тип модуляции	DSSS	OFDM	DSSS, OFDM

[Если таблицу не писать – то хотя бы упомянуть стандарты и дату принятия.]

WLAN-сети имеют ряд преимуществ перед обычными кабельными сетями:

- WLAN-сеть можно очень быстро развернуть, что очень удобно при проведении презентаций или в условиях работы вне офиса;

- пользователи мобильных устройств при подключении к локальным беспроводным сетям могут легко перемещаться в рамках действующих зон сети;

- скорость современных сетей довольно высока, что позволяет использовать их для решения очень широкого спектра задач;

- WLAN-сеть может оказаться единственным выходом, если невозможна прокладка кабеля для обычной сети.

Вместе с тем необходимо помнить об ограничениях беспроводных сетей. Это, как правило, все-таки меньшая скорость, подверженность влиянию помех и более сложная схема обеспечения безопасности передаваемой информации.

 

Для обеспечения безопасности в беспроводных сетях используется несколько средств:

- Зона покрытия (Уменьшить зону радиопокрытия до минимально приемлемой).

- Контроль за подключением к точке доступа на основе MAC-адресов и имени сети (SSID broadcast).

- Шифрование на основе протокола WEP.

- Поддержка протокола WPA.

- Контроль за доступом к среде передачи на основе протокола 802.1x.

- Настройка VPN поверх беспроводного соединения.

- Вынос беспроводной сети за межсетевой экран, как сети с низким доверием.

 

Контроль за подключением к точке доступа:

- По имени сети (SSID broadcast): можно использовать уникальный SSID во избежание несанкционированного доступа в беспроводную сеть.

- По MAC-адресу: можно задать на точке доступа список MAC–адресов, которым разрешена авторизация на точке доступа.

 

Шифрование на основе протокола WEP (Wired Equivalent Privacy).

Можно включить на всех беспроводных устройствах шифрование всего трафика для предотвращения несанкционированного доступа к передаваемой информации.

Шифрование использует RC4 алгоритм, принятый в IEEE 802.11 как WEP стандарт. Существует две разновидности WEP: WEP-40 и WEP-104, различающиеся только длиной ключа.

При включении протокола WEP выполняется настройка ключа безопасности сети. Этот ключ осуществляет шифрование информации, которую компьютер передает через сеть другим компьютерам. Однако защиту WEP относительно легко взломать, поэтому данный протокол не рекомендуется использовать. Атаки на WEP основаны на недостатках шифра RC4.

 

Протокол WPA (Wi-Fi Protected Access).

Для замены протокола WEP Wi-Fi была разработана новая система безопасности – WPA.

Основные достоинства WPA:

- Более надежный механизм шифрования, основанный на «временном протоколе целостности ключей» - Temporal Key Integrity Protocol (TKIP).

- Аутентификация пользователей при помощи 802.1x и Extensive Authentication Protocol (EAP).

- Совместимость с протоколом безопасности беспроводных сетей 802.11i.

- Возможность работы в сетях класса SOHO (Small Office / Home Office) без необходимости настройки сервера RADIUS – режим Pre-Shared Key (PSK), позволяющий вручную задавать ключи.

 

Cравнение WEP и WPA.

	WEP	WPA
Шифрование	Возможность взлома	Исправление всех недостатков WEP
	Ключ 40/104-бит	Ключ 128-бит
	Статический ключ - используется во всей сети	Динамический ключ - для каждого пользователя, сессии и пакета свой ключ
	Ключ вводится вручную в каждое устройство	Автоматическое распределение ключей
Аутентификация	Для аутентификации используется тот же ключ WEP	Надежная аутентификация с использованием 802.1x и EAP, либо ключа PSK

WPA2 определяется стандартом IEEE 802.11i, принятым в июне 2004 года, и призван заменить WPA. В нём реализовано CCMP и шифрование AES, за счет чего WPA2 стал более защищенным, чем свой предшественник. С 13 марта 2006 года поддержка WPA2 является обязательным условием для всех сертифицированных Wi-Fi устройств.

 

Контроль за доступом к среде передачи на основе протокола 802.1x.

Для аутентификации и авторизации пользователей с последующим предоставлением им доступа к среде передачи данных, разработан стандарт безопасности IEEE 802.1x, который ориентирован на все виды сетей доступа, соответствующие стандартам IEEE.

Данная система предназначена для совместной работы EAP (Extensive Authentication Protocol) и RADIUS.

Прежде чем получить доступ к беспроводной (или проводной) сети, клиент должен пройти проверку на сервере RADIUS и только в случае успешной проверки ему разрешается доступ в есть.

Наиболее распространены следующие методы аутентификации:

- LEAP – метод от Cisco systems;

- EAP-MD5 – простейший метод, аналогичный CHAP;

- EAP-MSCHAP v2 – метод аутентификации на основе логина/пароля пользователя в Microsoft-сетях;

- EAP-TLS – аутентификация на основе цифровых сертификатов.

Кроме вышеперечисленных, следует отметить следующие два метода, EAP-TTLS и EAP-PEAP. В отличие от предыдущих, эти два метода перед непосредственной аутентификацией пользователя сначала образуют TLS-туннель между клиентом и сервером аутентификации. А уже внутри этого туннеля осуществляется сама аутентификация, с использованием как стандартного EAP (MD5, TLS), или старых не-EAP методов (PAP, CHAP, MS-CHAP, MS-CHAP v2), последние работают только с EAP-TTLS (PEAP используется только совместно с EAP методами). Предварительное туннелирование повышает безопасность аутентификации, защищая от атак типа «man-in-middle», «session hihacking» или атаки по словарю.

 

Настройка VPN поверх беспроводного соединения

Для дополнительной безопасности можно настроить VPN поверх беспроводной сети. Аутентификация пользователей и шифрование трафика средствами VPN обеспечивает надежную защиту.

Средства VPN работают на сетевом уровне, транспортом может служить как проводная, так и беспроводная сеть.

 

Вынос беспроводной сети за межсетевой экран, как сети с низким доверием.

[Зарисовать схематично или на словах, что беспроводная сеть за МЭ, думаю проще схему набросать. DMZ может лучше не писать, а то придется расшифровывать и пояснять наверное.]